云计算客户5步IaaS安全检测清单

如今，很多机构几乎完全采用IaaS代替虚拟数据中心、内部部署服务器和设备。这种广泛的实现需要确保IaaS运营环境的安全，适应这种增加使用量的情况。

与PaaS或SaaS环境相比，客户采用IaaS面临更多的安全责任。例如，在SaaS中，以操作系统为中心的任务(如操作系统补丁)超出了客户的控制范围。但是，在IaaS模型中，其责任在于客户，因为他们可以控制工作负荷，而在这个案例中是虚拟计算图像。

通过对基础设施的更多控制，IaaS客户将承担保证其安全的负担。由于IaaS在堆栈中的位置较低，很难获得特定的安全指导，因为最佳实践需要适应不同的用法。但是，也有一些IaaS安全的最佳实践，可以在云计算提供商和使用场景中普遍应用。

以下是云计算客户IaaS安全检查清单的五个基本步骤

1、了解云计算提供商的安全模式

在使用IaaS产品之前，组织的信息安全负责人需要了解云计算提供商的安全模式。这很重要，这主要有两个原因:首先，云计算提供商对相似的概念使用不同的术语。例如，用户可以使用AWS云平台中的标签来组织资产，但也可以在谷歌云平台(GCP)中的项目中组织。但是，这将影响云安全战略变更的实施方法，因此理解术语有助于防止错误。

其次，从操作的角度来看很重要。用户需要了解哪些安全功能可以使用，以及这些功能的潜在价值或限制。考虑到这种情况，信息安全负责人需要确定操作配置文件的必要变更，确保有效使用这些特性。

Amazon GuardDuty和Microsoft Defender for Identity(前身为Azure Advanced Threat Protection)等服务在概念上高度相似，但操作方式和用户操作者获得价值的方式完全不同。可构建控制图，比较提供者之间的功能。这在多云环境中尤为重要。

无论云计算提供商如何，这些列表都可以应用于IaaS安全的最佳实践。

2、加密静态数据

大多数云计算提供商(尤其是大型提供商)可以加密在IaaS平台上创建的虚拟机。这种加密功能通常是免费的，或者费用很低。用户可以选择管理自己的钥匙，也可以选择云计算提供商管理。

考虑到对财务和运营的影响较小，使用该加密功能(默认未启用)是明智的决定。根据IaaS安全检测表的第一步，需要明确静态加密是否影响其他云计算提供商提供的服务，如备份和恢复功能。

3、持续更新补丁

IaaS客户主要负责保持工作负荷的最新状态。大多数情况下，包括操作系统本身和安装这些图像的软件。就像需要修补和维护内部部署服务器一样，云计算的工作负荷也应采取同样的措施。这听起来像常识，但一致的更新补丁可能比看起来难得多。在不同群体内或通过不同的操作流程管理云计算资源时，尤其如此。

4、监视和盘点

密切关注云计算或其他任何资产的常识。但就像修补程序一样，监控功能可以在组织内的不同组中。此外，云计算提供商通过不同的界面提供各种监控机制。这些运营挑战需要大量的计划和远见，确保一致高效的云计算监视。因此，安全领导应该留出足够的时间来制定监控策略。

另外，机构还需要保持最新的图片清单。IaaS控制台列出了其中的内容，但不一定包括相关组织中谁使用虚拟机(VM)，以及虚拟机(VM)的详细信息。有助于通过相关注释或标签在列表系统和IaaS控制台维护列表信息。这使得安全团队能够在IaaS控制台中交叉引用信息，在多个云计算平台中跟踪工作负荷，一目了然地确定工作负荷。

5、管理访问权限

在IaaS中，必须考虑多个身份和访问管理(IAM)维度作为IaaS安全清单的一部分。首先，您可以访问操作系统及其安装的应用程序和中间部件。其次，在操作系统层面考虑特权访问(其中包括root或管理访问)。IaaS的这些身份和上门管理（IAM）注意事项要认真管理和控制。

需要注意的是，IaaS还有其他唯一的访问层。这一层包括访问IaaS控制台和其他程序功能，这些功能提供相关或影响云计算资源运行的信息。这些功能(如备份和恢复、钥匙管理和审查)在确保资源安全方面发挥作用。因此，了解谁有权访问供应商控制台的这些地区，以及出于什么目的很重要。

组织可以使用即时访问等功能，只在需要时提供访问。使用跳转服务器集中整合访问权限，统一实施监视，最大限度地减少工作负荷攻击面。